【簡介】相信很多人已經習慣利用導向快速創建VPN了，而且已經有部分嘗鮮者已經用上了FortiOS 7.6，但是會發現FortiOS 7.6下的VPN向導改變了很多，一時無法下手，下面我們來看看最常見的點對點是如何配置的。

---

? 環境介紹

　　在配置IPsec VPN之前，我們需要了解環境以及需求，得到必要的數據，才能開始配置。

　　① 老梅子集團深圳研發總部防火墻為FortiGate 601E，寬帶為固定IP，服務器位于port7口，IP地址為172.16.2.X網段。

　　② 老梅子集團中山工廠防火墻為FortiGate 60F，寬帶為ADSL撥號，得到的非公網IP，電腦位于LAN口，IP地址為172.16.1.X網段。

　　這是一個非常常見的網絡環境，無公網IP的分部需要訪問有公網IP的總部。

??總部配置

　　首先我們登錄深圳總部防火墻，利用向導配置VPN。

　　① 在深圳防火墻選擇菜單【VPN】-【VPN向導】，輸入自定義的隧道名稱，通常以兩個地點命名，默認選擇站到站模板。點擊【開始】按鈕。

　　② 從VPN隧道設置這段來看，就與以前的版本有很大的不同。輸入自定義的預共享密鑰，兩邊防火墻預共享密鑰必須完全相同。注意這里的IKE，默認為版本2，早期默認為版本1，其它都保持默認，點擊【下一個】。

　　③?遠程站點是配置對方參數，由于中山分部的防火墻是撥號寬帶，并沒有公網IP，無法直接訪問中山防火墻，所以無程站點設備選擇了【在NAT或動態后面】，中山防火墻的LAN口是172.16.1.X網段，因此在可以訪問VPN的遠程站點子網填寫【172.16.1.0/24】。點擊【下一個】。

　　④?本地站點設置，傳出接口為寬帶接口，這里選擇port1，本地接口為服務器所在接口port7，本地子網為172.16.2.0/24，由于只允許中山防火墻的LAN接口訪問深圳防火墻的port7接口，因此最下面的【允許遠程站點的Internet流量通過此設備】保持默認不啟用。點擊【下一個】。

　　⑤?配置全部完成，點擊【提交】，深圳防火墻自動生成地址對象、虛擬接口以及策略。

　　⑥?選擇菜單【VPN】-【VPN隧道】，可以看到已經創建好SZ-ZS的隧道，點擊隧道，彈出菜單中選擇【編輯】。

　　⑦?可以看到遠程網關為【撥號用戶】，由中山防火墻撥入。IKE默認為版本2。

　　⑧ 選擇子菜單【隧道對象】，可以看到自動創建的地址組、防火墻策略、接口、區域和VPN接口，后期如果要刪除VPN，就可以將這些對象一一手動刪除。

??分部配置

　　深圳總部防火墻配置完成后，下一步就是配置中山分部防火墻了。

　　① 在中山防火墻選擇菜單【VPN】-【VPN向導】，輸入自定義的隧道名稱，通常以兩個地點命名，默認選擇站到站模板。點擊【開始】按鈕。

　　② 在VPN隧道設置，輸入與深圳總部防火墻相同的自定義預共享密鑰，其它都保持默認，點擊【下一個】。

　　③?遠程站點設置，由于深圳總部防火墻有公網IP，因此遠程站點設備保持默認選擇【可訪問和靜態】，輸入深圳總部寬帶的IP地址，可以訪問VPN的遠程站點子網，輸入深圳防火墻服務器port7接口的IP地址網段172.16.2.0/24，點擊【下一個】。

?　　④?本地站點設置，傳出接口為寬帶接口，這里選擇wan1，本地接口選擇LAN，本地子網為172.16.1.0/24，點擊【下一個】。

　　⑤?配置全部完成，點擊【提交】，中山防火墻比深圳防火墻自動生成多了路由。

?　　⑥?選擇菜單【VPN】-【VPN隧道】，可以看到已經創建好SZ-ZS的隧道，點擊隧道，彈出菜單中選擇【編輯】。我們看看中山分部與深圳總部的配置有什么不同。

　　⑦ 看到中山與深圳配置不同的是遠程網關為【靜態IP地址】。

　　⑧ 選擇子菜單【隧道對象】，可以看到自動創建的地址組、防火墻策略、接口、區域和VPN接口，還有比深圳防火墻多了靜態路由。

??啟用和斷開IPsec VPN

　　由于深圳總部防火墻是被撥入端，因此只能在中山分部防火墻啟動VPN。

　　① 在中山分部防火墻選擇菜單【儀表板】-【網絡】，點擊【IPsec】小部件。

　　② 可以看到剛才創建的中山到深圳的IPsec VPN已經是綠色，階段1和階段2都上綠色向上箭頭的圖標，表示隧道連接成功。

　　③?有的時候我們需要段開VPN，在IPsec小部件，選擇隧道，彈出菜單選擇【斷開】，可以斷開階段2，也可以全部斷開。

　　④ 同樣，如果隧道沒有啟動，點擊隧道彈出菜單可以選擇【啟用】，由于階段1是自動連接的，所以這里可以選擇的是階段2的啟動。

??驗證隧道互通

　　由于我們配置的是中山的172.16.1.0/24和深圳的172.16.2.0/24的互訪，因此可以在兩邊防火墻的互ping，如果都能通，說明隧道互訪正常。

　　① 在中山分部防火墻界面點擊右上角命令窗口圖標。

?　　②?在命令窗口輸入命令 execute ping-options source 172.16.1.1, 定義源IP地址。

　　③ 為什么要定義源IP地址？這是讓防火墻模擬電腦從Lan口發起請求。為什么IP地址是172.16.1.1？因為這是Lan口的IP地址。可以是172.16.1.2或其它的地址嗎？不可以，防火墻源IP地址只能定義接口的IP地址。

　　④?定義源IP地址后，執行命令 execute ping 172.16.2.1，ping深圳總部防火墻服務器port7接口IP地址，可以Ping通，說明從中山訪問深圳正常。

　　⑤?深圳總部的服務器port7接口IP地址是172.16.2.1，下一步我們從深圳port7口去ping中山的LAN口。

　　⑥ 登錄深圳總部防火墻。進入命令窗口，執行命令 execute ping-options source 172.16.2.1，定義源IP地址為port7接口IP，執行命令 execute ping 172.16.1.1，從深圳防火墻port7口訪問中山防火墻LAN口正常。說明IPsec VPN是通的，可以互相訪問。

---